论坛 › ＰＣ数码 › [已解决]Z3TC根证书2021年9月30日过期，如何导入新的根证书？

zmw_831110 发表于 2022-2-7 22:47

[已解决]Z3TC根证书2021年9月30日过期，如何导入新的根证书？

本帖最后由 zmw_831110 于 2022-2-21 11:00 编辑

就搜到
可以Root后安装ISRG Root X1 Self-signed根证书
https://letsencrypt.org/certificates/

那个网址过去，就下载了一个isrgrootx1.pem.txt
怎么装呢？

设备Z3TC，已root

软件报错证书过期
https://p.sda1.dev/4/6e8e6f4aeb94f163b71f5d8fda51893f/IMG_20220207_224855.png
解决方法:
确保机器是Root的,将6187b673.0移动到/system/etc/security/cacerts，并将文件权限修改为644,然后重启设备,搞定

强尼高达 发表于 2022-2-7 22:54

根证书过期了会怎样？

5long 发表于 2022-2-7 23:17

强尼高达 发表于 2022-2-7 22:54
根证书过期了会怎样？

https://sjtug.org/post/mirror-news/2021-10-04-cert/
浏览器会报错, 说网站的证书不可信
这个网站可以用来模拟此类效果: https://expired-isrgrootx1.letsencrypt.org/
如果不是浏览器, 而是 App 访问 HTTPS API, 也(可能)会因为证书不可信而无法获取数据
如果用户选择无视证书不可信的情况, 有可能会被"中间人攻击"

5long 发表于 2022-2-7 23:23

拿自己的 Pixel 4A Android 12 试了一下
手动安装 ISRG Root X2 这个证书, 成功了
用的是 Android 设置里自带的功能, 并不需要 root.

可能需要注意的地方是:
下载下来的 pem 格式的证书扩展名必须是 .pem 结尾, 才能正确安装.
下载工具(比如浏览器)可能会出于安全考虑, 擅自把文件改名成了 .pem.txt 结尾
如果用手机 / 平板直接访问 https://letsencrypt.org/certificates/ 会报证书错误
那么也可以先用别的设备访问这个页面, 下载证书, 设法传到手机里, 再安装就行了.

二丁目拓也 发表于 2022-2-7 23:27

。。。。。让我想起当年给诺基亚刷机还得折腾证书的时候。。。

强尼高达 发表于 2022-2-8 00:40

5long 发表于 2022-2-7 23:17
https://sjtug.org/post/mirror-news/2021-10-04-cert/
浏览器会报错, 说网站的证书不可信
这个网站可以 ...

用chrome访问了百度、华擎和微星，没有任何问题

zmw_831110 发表于 2022-2-8 00:55

本帖最后由 zmw_831110 于 2022-2-8 00:57 编辑

自己搜了很多安卓怎么安装系统根证书的教程,卡住了.
https://blog.njcit.me/2020/08/21/%E3%80%90%E8%80%81%E6%96%87%E7%AB%A0%E3%80%91%E5%AE%89%E8%A3%85burp%E8%AF%81%E4%B9%A6%E5%88%B0%E5%AE%89%E5%8D%93%E7%B3%BB%E7%BB%9F%E8%B7%9F%E8%AF%81%E4%B9%A6/

首先计算isrgrootx1.pem的哈希值文件名,随后改名成xxxxxxxx.0(x为哈希值,但不清楚是啥算法的,看命令用-subject_hash_old,也没找到可以在线计算的),我就卡这一步了…(目测程序员都是linux环境，我是windows装了个openssl，也无法运行这个命令openssl x509 -inform PEM -subject_hash_old -in证书文件名.pem)

如果能完成这步,后面的将文件移动到/system/etc/security/cacerts，并将文件权限修改为644我是会的

所以有谁可以直接提供改好名的证书文件么?

或者有靠谱的安卓安装系统根证书(root)教程么?

用户级的证书导入试了，无效

—— 来自 Xiaomi M2007J3SG, Android 11上的 S1Next-鹅版 v2.5.2

5long 发表于 2022-2-8 01:36

zmw_831110 发表于 2022-2-8 00:55
自己搜了很多安卓怎么安装系统根证书的教程,卡住了.
https://blog.njcit.me/2020/08/21/%E3%80%90%E8%80%81 ...

如果非要用 root 装到系统级证书
那么我这边算出来的 hash 是:

> openssl x509 -inform PEM -subject_hash_old -in isrgrootx1.pem | head -1
6187b673

但我手上没有低版本(也不知道你在用的是啥版本) & root 过的安卓机了
没法验证这个 hash 算出来是否真的可用

5long 发表于 2022-2-8 01:43

强尼高达 发表于 2022-2-8 00:40
用chrome访问了百度、华擎和微星，没有任何问题

因为这几个网站的证书信任链上的各级证书都没过期
其中的根证书也在你的客户端(多半可能是系统级, 也可能是应用级)已经受信了.

zmw_831110 发表于 2022-2-8 02:13

5long 发表于 2022-2-8 01:36
如果非要用 root 装到系统级证书
那么我这边算出来的 hash 是:


搞定了，谢谢
https://p.sda1.dev/4/b2d11061fdae9651a09c2b248c8ed3ed/IMG_CMP_52509249.png

—— 来自 Sony SGP621, Android 6.0.1上的 S1Next-鹅版 v2.4.3

atomicink 发表于 2022-2-24 12:09

插眼，所以没有维护的老安卓平板或手机都会根证书过期？

zmw_831110 发表于 2022-2-24 14:28

atomicink 发表于 2022-2-24 12:09
插眼，所以没有维护的老安卓平板或手机都会根证书过期？

是的，昨天把P8的根证书也更新了，居然莫名得感觉续航好了些

—— 来自 Xiaomi M2007J3SG, Android 11上的 S1Next-鹅版 v2.5.2

查看完整版本: [已解决]Z3TC根证书2021年9月30日过期，如何导入新的根证书？